Hoe kijkt een profiler naar  cyberveiligheid?

Als ik er nu op terugkijk, was ik al van kleinsaf geïnteresseerd in het gedrag van mensen, al was ik mij daar als kind niet van bewust. Ik herinner mij dat ik als zesjarige stond aan te schuiven met mijn ouders aan een ijskraam, en dat ik uit verveling op basis van hun gedrag probeerde te voorspellen wat de mensen voor ons zouden bestellen. Kozen voor traditionele smaken als chocolade, of eerder voor iets speciaals? Het eerste boek dat ik las ging over lichaamstaal: ik wilde lichaamstaal begrijpen en details zien die iets vertellen over mensen.

Vandaag zouden we dit ‘voorspellend profileren’ noemen. Nu ben ik daar natuurlijk op een heel ander niveau mee bezig. Het verloopt veel meer gefocust en heel professioneel, en het vervult een maatschappelijk doel.

Wel, voordat we ons de vraag stellen waarom cybercriminelen doen wat ze doen, moeten we ons afvragen: wie zijn ze? Het interessante is dat dit bijna altijd mannen zijn, vaak jonger dan 30, en goed opgeleid, met bovengemiddelde intelligentie. Dat is een opvallend verschil met de rest van de criminaliteit: daar zien we een gemiddelde intelligentie en vooral veel laaggeschoolden.

Dat is fascinerend, omdat cybercriminelen het dus niet voor het geld doen: ze kunnen met hun skills werken voor bedrijven zoals Tesla, Google of Amazon, en daar een riant loon verdienen. Zij doen het dus niet zozeer voor het geld, maar voor de opwinding. Ze doen het omdat het kan, en àls ze het dan voor het geld doen, moet je je steeds afvragen wat het eigenlijke motief daarachter is. Vaak hebben ze al meer dan genoeg geld, dan zou hebzucht het motief kunnen zijn.

Het is moeilijk deze vraag te beantwoorden omdat dit sterkt afhangt van je sector. Als je de vraag zo stelt, zou ik zeggen dat dat ransomware is. De vraag is dan ook meteen: hoe komt ransomware in bedrijven terecht? Dan zien we dat mensen altijd aan de basis liggen. Iemand heeft een wachtwoord gedeeld via de telefoon, een foute link aangeklikt of een bijlage gedownload. Dat noemen we social engineering: het manipuleren van mensen om ze iets te laten doen dat ze eigenlijk niet zouden moeten doen. Daar maken cybercriminelen dankbaar gebruik van.

Maar het hangt ook af van sector tot sector wat precies de belangrijkste cyberbedreiging is. We zien in het algemeen vier soorten bedreigingen:

• Black hat hackers (dit zijn individuen)
• Crime as a service: een criminele groep of structuur die bedrijven aanvalt
• Spionage
• Cyberterrorisme

Zit je in een strategisch belangrijke sector zoals energie of infrastructuur, dan is cyberterrorisme wellicht de grootste bedreiging. Voor de algemene zakenwereld is ransomware momenteel de grootste bedreiging. Zit je in de wapenindustrie of vliegtuigbouw bijvoorbeeld, dan is spionage wellicht je grootste bedreiging.

Opnieuw een moeilijke vraag om te beantwoorden. Er komen nieuwe bedreigingen op ons af, maar ook nieuwe oplossingen. Eén cyberbedreiging waar we de komende jaren veel meer van zullen zien, is ‘crime as a service’. Dat betekent dat je dan bijvoorbeeld ransomware kan huren om cybercriminaliteit mee te plegen. Daarbij gebruik je dan bestaande software waarbij je een percentage van je buit afstaat aan degene waarvan je de software inhuurt. Dat betekent dat het aantal mensen dat cybercriminaliteit kan plegen een heel stuk groter wordt. Waar je 30 jaar geleden nog een grondige informaticakennis nodig had hiervoor, kan vandaag eender wie met een goede basiskennis van computers al aan de slag met dit soort platformen.

Daarnaast is ook de evolutie van deep fake technologie een steeds groter wordende bedreiging. Hiermee kan je stem of beeld vervalsen en het zodanig op het origineel laten lijken dat het geloofwaardig wordt. Met deze vorm van cybercriminaliteit wordt het mogelijk via telefoon of video het vertrouwen van een slachtoffer te winnen en ze zo te manipuleren.

Gelukkig zijn er ook nieuwe ontwikkelingen in de strijd tegen cybercriminaliteit. Een zeer interessant voorbeeld hiervan in de wereld van cyberprofilering is de forensische linguïstiek. We kennen allemaal DNA en vingerafdrukken om cybercriminelen mee te identificeren. In de toekomst zal forensische linguïstiek ons toelaten om iemand te identificeren op basis van een pagina tekst. Het is een soort van linguïstische vingerafdruk, en het is zo interessant omdat cybercriminelen vaak taal en tekst gebruiken om hun misdaden te plegen.

Als we kijken waar cybercriminaliteit vandaan komt, dan zien we dat de meeste hackers eraan beginnen tussen de 10 en 15 jaar oud. Ze hebben goede IT-vaardigheden, en willen het gevoel hebben dat ze belangrijk zijn, dat ze er toe doen. Het probleem is natuurlijk dat de meeste organisaties een kind van 10 of 12 jaar niet serieus nemen. Tot ze natuurlijk een bedrijf hacken, dan wordt er plots wel rekening met hen gehouden.

Ik denk dus dat overheden zouden moeten inzetten op het creëren van kansen voor deze mensen om hun vaardigheden te ontwikkelen en te gebruiken voor iets goeds. In veel landen heb je op die leeftijd nog geen toegang tot computerlessen op school, dat is een gemiste kans. Zo komen ze dan terecht op sociale media en het dark web, waar ze zich verder ontplooien.

Overheden zouden bijvoorbeeld cyberuitdagingen kunnen organiseren voor deze jonge IT-talenten. Als ze de code kunnen kraken of een systeem kunnen hacken, krijgen ze bijvoorbeeld een rondleiding of een stage of iets dergelijks. De NSA (National Security Agency in Amerika) zet daar momenteel al op in, en slaagt er zo in om jonge mensen iets goeds te laten doen met hun IT-vaardigheden.

Cyberbeveiliging moet volgens mij een combinatie zijn van technologie en een menselijke firewall. Je mag de beste technologie ter wereld hebben: als een cybercrimineel je opbelt en je manipuleert om je gebruikersnaam en wachtwoord te geven, dan heb je een groot probleem. Geen enkele technologie lost dat op. Veel bedrijven zijn trots op de technologie die ze inzetten om systemen te beveiligen, maar hebben geen idee dat tegelijkertijd hackers gewoon foto’s van het scherm nemen en de data gebruiken om je schade toe te brengen.

Ik raad bedrijven eigenlijk af om zelf hun mensen te trainen. We zien dat IT-departementen en medewerkers alleen maar contact hebben met elkaar als een systeem niet werkt of als iemand een fout gemaakt heeft. IT is dus jammer genoeg vaak een negatief onderwerp in bedrijven, en dat bevordert de cyberveiligheid niet. We zien vaak dat interne trainingen alleen maar die mensen bereiken die de kennis al hebben.

In plaats daarvan zou ik bedrijven aanraden om het entertainend te maken en om externen in te schakelen om hun medewerkers te enthousiasmeren. Zo bereik je de mensen die in principe geen interesse hebben in cyberveiligheid, of voor wie dit geen prioriteit is. De eerste contactpunten in het bedrijf zijn vaak de secretaresse, het onthaal en dergelijke, vaak mensen die te weinig op de hoogte zijn van cyberpsychologie en social engineering. Probeer iedereen in je bedrijf te inspireren rond cyberveiligheid, alleen zo bouw je een menselijke firewall in je organisatie.